Cybersäkerhetsakten: Vår Guide för att Uppfylla Lagkraven
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
EU:s cybersäkerhetsakt (EU Cybersecurity Act) skapar ett gemensamt ramverk för cybersäkerhetscertifiering av produkter, tjänster och processer i hela unionen. Enligt ENISA (2025) berör akten direkt eller indirekt miljontals produkter som säljs på den europeiska marknaden, från IoT-enheter till molntjänster. För svenska företag innebär det nya krav att förstå och efterleva.
Den här guiden förklarar vad cybersäkerhetsakten innebär, vilka certifieringsnivåer som finns och hur ditt företag kan förbereda sig. Vi tittar också på kopplingen till NIS2-direktivet och Cyber Resilience Act (CRA) som sammantaget formar EU:s cybersäkerhetsregelverk.
Sammanfattning - EU:s cybersäkerhetsakt skapar ett gemensamt certifieringsramverk för hela EU - Tre säkerhetsnivåer: grundläggande, väsentlig och hög (ENISA, 2025) - Akten stärker ENISA:s mandat som EU:s cybersäkerhetsmyndighet - Kopplingen till NIS2 och CRA skapar ett heltäckande regelverk
Vad är EU:s cybersäkerhetsakt?
EU:s cybersäkerhetsakt (förordning 2019/881) trädde i kraft i juni 2019 och skapar ett europeiskt ramverk för cybersäkerhetscertifiering. Enligt EU-kommissionen (2024) är syftet att öka tilliten till digitala produkter och tjänster genom enhetliga säkerhetskrav i alla medlemsländer.
Akten har två huvudsakliga funktioner. Den stärker ENISA:s (European Union Agency for Cybersecurity) mandat och resurser. Och den etablerar ett frivilligt, men i praktiken allt viktigare, certifieringssystem för ICT-produkter, tjänster och processer.
Certifieringens tre nivåer
Certifieringsramverket definierar tre säkerhetsnivåer: grundläggande (basic), väsentlig (substantial) och hög (high). Grundnivån kan ofta verifieras genom självdeklaration. Väsentlig nivå kräver oberoende granskning. Hög nivå kräver certifiering av ett ackrediterat organ.
Vilken nivå som krävs beror på produktens eller tjänstens riskprofil. En enkel IoT-sensor kan klara grundnivån. En molntjänst som hanterar känslig data behöver sannolikt väsentlig eller hög nivå. Tänk på att kraven förändras i takt med att nya certifieringsscheman utvecklas.
EUCC: det första certifieringsschemat
European Common Criteria-based Cybersecurity Certification Scheme (EUCC) är det första certifieringsschemat under cybersäkerhetsakten. Enligt ENISA (2025) trädde EUCC i kraft i februari 2025 och fokuserar på ICT-produkter som hårdvara och mjukvara.
EUCC bygger på den internationellt erkända Common Criteria-standarden (ISO/IEC 15408) men anpassar den till EU:s specifika behov. För svenska företag som redan certifierar produkter enligt Common Criteria innebär övergången till EUCC inga dramatiska förändringar, men processerna och kraven är delvis annorlunda.
Hur påverkar cybersäkerhetsakten svenska företag?
Akten påverkar svenska företag på flera sätt. Enligt Svenskt Näringsliv (2025) uppskattar nästan 40 procent av tillverkande företag att de behöver cybersäkerhetscertifiering för sina produkter inom de kommande tre åren. Det gäller särskilt företag inom IoT, molntjänster och kritisk infrastruktur.
Om du säljer digitala produkter eller tjänster inom EU bör du kartlägga vilka certifieringsscheman som gäller er. Även om certifieringen formellt är frivillig kan den bli ett krav vid offentlig upphandling eller från kunder som ställer säkerhetskrav i sina avtal.
Offentlig upphandling och marknadstillgång
EU-kommissionen har signalerat att offentlig upphandling kan kräva cybersäkerhetscertifiering för vissa produktkategorier. I Sverige betyder det att leverantörer till stat, regioner och kommuner kan behöva visa certifiering för att kvalificera sig.
Det skapar både utmaningar och möjligheter. Företag som certifierar sig tidigt får en konkurrensfördel. De som väntar riskerar att stängas ute från marknader. Kostnaderna för certifiering varierar, men investeringen betalar sig genom bredare marknadstillgång.
Kopplingen till Cyber Resilience Act
Cyber Resilience Act (CRA), som antogs 2024, ställer obligatoriska cybersäkerhetskrav på alla produkter med digitala element som säljs på EU-marknaden. Enligt EU-kommissionen (2024) beräknas CRA minska kostnaden för cyberincidenter med 180-290 miljarder euro årligen.
CRA och cybersäkerhetsakten kompletterar varandra. CRA ställer de obligatoriska grundkraven. Cybersäkerhetsakten erbjuder certifieringsramverket som kan användas för att visa efterlevnad. Företag som investerar i certifiering under cybersäkerhetsakten förbereder sig samtidigt för CRA.
Vill ni ha expertstöd med cybersäkerhetsakten: vår guide för att uppfylla lagkraven?
Våra molnarkitekter hjälper er med cybersäkerhetsakten: vår guide för att uppfylla lagkraven — från strategi till implementation. Boka ett kostnadsfritt 30-minuters rådgivningssamtal utan förpliktelse.
Hur förbereder du ditt företag för certifiering?
Förberedelsen börjar med en gap-analys. Enligt ISO (2025) rapporterar 65 procent av organisationer att den största utmaningen med säkerhetscertifiering är att identifiera vilka krav som gäller deras specifika produkt eller tjänst. En strukturerad kartläggning löser det problemet.
Kartlägg vilka produkter och tjänster som kan beröras. Identifiera vilken certifieringsnivå som krävs. Genomför en intern granskning av befintliga säkerhetskontroller och dokumentation. Prioritera de åtgärder som behövs för att nå certifieringskraven.
Steg-för-steg: vägen till certifiering
1. Kartlägg era produkter. Identifiera vilka som faller under certifieringsscheman. IoT-enheter, molntjänster och nätverksutrustning är vanliga kategorier.
2. Bestäm certifieringsnivå. Grundläggande, väsentlig eller hög? Nivån styrs av produktens riskprofil och kundens krav.
3. Genomför gap-analys. Jämför befintliga säkerhetskontroller med certifieringskraven. Identifiera och prioritera brister.
4. Implementera åtgärder. Stäng identifierade luckor. Det kan handla om tekniska kontroller, dokumentation eller processförbättringar.
5. Certifiera. Engagera ett ackrediterat organ för granskning och certifiering. Grundnivån kan ibland klaras genom självdeklaration.
Kopplingen till NIS2
NIS2-direktivet och cybersäkerhetsakten förstärker varandra. NIS2 ställer krav på organisationers cybersäkerhetsförmåga. Cybersäkerhetsakten erbjuder certifiering som kan visa att kraven uppfylls. Företag som lyder under NIS2 bör överväga certifiering som ett verktyg för att demonstrera efterlevnad.
En compliance-rådgivare kan hjälpa er navigera överlappen mellan regelverken och prioritera rätt insatser.
Vilka branscher berörs mest av cybersäkerhetsakten?
Branscher med hög digitaliseringsgrad och kritisk infrastruktur berörs mest direkt. Enligt ENISA Threat Landscape Report (2025) var hälsovård, transport och energi de tre sektorer som utsattes för flest cyberangrepp i EU under 2025, och samtliga berörs av certifieringskraven.
IoT-tillverkare står inför särskilt stora förändringar. Historiskt har säkerhet inte prioriterats i billiga uppkopplade enheter. Cybersäkerhetsakten och CRA ändrar det genom att kräva säkerhet som standard, inte som tillval.
Molntjänster och EUCS
European Cybersecurity Certification Scheme for Cloud Services (EUCS) är under utveckling och förväntas ställa specifika krav på molnleverantörer. Schemats slutliga utformning debatteras fortfarande, men riktningen är tydlig: molntjänster som hanterar europeiska data ska kunna certifieras.
För svenska företag som köper molntjänster innebär det att ni bör kräva certifiering av era leverantörer. Och för svenska molntjänsteföretag innebär det att certifiering kan bli en förutsättning för att behålla kunder.
Industriell IoT och uppkopplad tillverkning
Svensk industri använder alltmer uppkopplade sensorer, styrsystem och robotar. Säkerhetskraven för dessa enheter kommer att skärpas avsevärt genom CRA och cybersäkerhetsakten. Företag som tillverkar eller använder industriell IoT bör börja planera nu.
Vanliga frågor om cybersäkerhetsakten
Är cybersäkerhetscertifiering obligatorisk?
Formellt sett är certifieringen under cybersäkerhetsakten frivillig. Men i praktiken kan den bli obligatorisk genom offentlig upphandling, kundkrav eller kompletterande lagstiftning som CRA. Enligt ENISA (2025) räknar EU-kommissionen med att utvärdera behovet av obligatorisk certifiering för kritiska produktkategorier senast 2027.
Vad kostar det att certifiera en produkt?
Kostnaden varierar kraftigt beroende på certifieringsnivå och produktens komplexitet. Grundläggande nivå kan kosta från 50 000 kronor för en enkel produkt. Väsentlig och hög nivå kräver oberoende granskning och kan kosta 200 000 till över 1 miljon kronor. Räkna också in intern arbetstid för förberedelser.
Hur skiljer sig cybersäkerhetsakten från NIS2?
Cybersäkerhetsakten fokuserar på certifiering av produkter, tjänster och processer. NIS2 ställer krav på organisationers cybersäkerhetsförmåga och incidentrapportering. De kompletterar varandra: NIS2 säger vad organisationer ska uppnå, och cybersäkerhetsakten erbjuder ett verktyg (certifiering) för att visa att kraven uppfylls.
Sammanfattning
EU:s cybersäkerhetsakt skapar ett enhetligt ramverk för cybersäkerhetscertifiering som påverkar svenska företag inom alla sektorer. Tillsammans med NIS2 och Cyber Resilience Act formar den ett heltäckande regelverk som ställer konkreta krav på digital säkerhet.
Börja med att kartlägga vilka produkter och tjänster som berörs. Genomför en gap-analys mot relevanta certifieringsscheman. Investera i de åtgärder som krävs och planera certifieringen i god tid. Företag som agerar proaktivt får en konkurrensfördel, medan de som väntar riskerar att hamna efter.
Regelverken kan verka komplexa, men grundtanken är enkel: säkra produkter och tjänster ska vara normen i Europa, inte undantaget.
Relaterade artiklar
Om författaren
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.
